Outils pour utilisateurs

Outils du site


admin:procedures:configuration-firewall-guest

Ceci est une ancienne révision du document !


Un firewall simple avec firehol

Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol

Installation

Pour l'installer :

apt install firehol

Configuration

La configuration est dans /etc/firehol/firehol.conf. Par défaut elle est vide. On peut générer un template de configuration :

firehol helpme > /etc/firehol/firehol.conf

Ce template nécessite néanmoins un peu de travail pour être ok. Voici un exemple de conf qui correspond à un guest standard :

/etc/firehol/firehol.conf
## IPv6
ipv6 interface any v6interop proto icmpv6
    client ipv6neigh accept
    server ipv6neigh accept
    policy return
 
# Trafic interne au cluster
# The purpose of this interface is to control the traffic
# on the ens3 interface with IP 192.168.1.30 (net: "192.168.1.0/24 ").
# on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6
interface "ens3 ens8" internal_trafic src4 "192.168.1.0/24 " dst4 192.168.1.30 src6 "2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64" dst6 2a01:4f8:10b:c42:5054:ff:fed5:3f06
 
	# On est entre amis alors on rejette poliment le trafic
	policy reject
 
    # Services acceptés
	client dhcp accept
	server ICMP accept
	server http accept
	server smtp accept
	server ssh accept
 
	# Custom service definitions for unknown services.
	server custom icinga tcp/5665 any accept
 
    # Accepte tout en sortie
	client all accept
 
# Trafic externe au cluster
# The purpose of this interface is to control the traffic
# from/to unknown networks behind the default gateway 192.168.1.5 .
# on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6
interface "ens3 ens8" external_trafic src4 not "${UNROUTABLE_IPV4} 192.168.1.0/24 " dst4 192.168.1.30 src6 not "${UNROUTABLE_IPV6} 2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64" dst6 2a01:4f8:10b:c42:5054:ff:fed5:3f06
 
	# La machine n'est pas adressable si le NAT n'est pas configuré
	# On est donc malgré tout entre amis alors on rejette poliment le trafic
	policy drop
 
    # Services acceptés
    # - pas de http : ça passe nécessairement via le bastion
    # - pas d'email : ça passe nécessairement via le relai email
    # - pas d'ssh : ça passe nécessairement par le bastion
    # - pas d'icmp : le serveur n'est pas adressable
    # - pas d'icinga : ça vient nécessairement du serveur admin
 
    # Accepte tout en sortie
	client all accept

Test

On peut tester la configuration pendant 30 s avec

firehol try

Démarrage

On peut démarrer le service avec

firehol start

Une fois qu'on est sur qu'on le garde, on peut activer le firewall via /etc/default/firehol :

/etc/default/firehol
START_FIREHOL=YES

Ainsi le firewall est actif dès le démarrage du démon.

admin/procedures/configuration-firewall-guest.1498654946.txt.gz · Dernière modification: 2017/06/28 15:02 par fpoulain